Guidance
NL

Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte

European Data Protection Board
Nov 21, 2025 edpb-guidelines voor-gedragscodes-als-instrumenten-voor doorgifte

Content

Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte

Versie 2.0

Vastgesteld op 22 februari 2022

Versiegeschiedenis

Versie 2.0 22 februari 2022 Vaststelling van de richtsnoeren na openbare raadpleging
Versie 1.0 7 juli 2021 Vaststelling van de richtsnoeren voor openbare raadpleging

SAMENVATTING

Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt e). Overeenkomstig artikel 40, lid 3, kunnen in derde landen gevestigde verwerkingsverantwoordelijken of verwerkers die niet onder de AVG vallen zich aansluiten bij een gedragscode die door de bevoegde toezichthoudende autoriteit is goedgekeurd en door de Commissie binnen de EU algemeen geldig is verklaard, en deze gebruiken om te voorzien in passende waarborgen voor gegevens die aan derde landen worden doorgegeven. Die verwerkingsverantwoordelijken en verwerkers moeten, via contractuele of andere juridisch bindende instrumenten, bindende en afdwingbare toezeggingen doen om de door de code geboden passende waarborgen toe te passen, ook wat betreft de rechten van de betrokkenen, zoals voorgeschreven in artikel 40, lid 3. In de richtsnoeren worden elementen genoemd die in deze toezeggingen aan de orde moeten komen.

Tevens moet worden opgemerkt dat verwerkingsverantwoordelijken/verwerkers die onder de AVG vallen (d.w.z. gegevensexporteurs) zich, om te voldoen aan hun verplichtingen bij doorgiften aan derde landen overeenkomstig de AVG, kunnen beroepen op een code voor doorgifte waarbij een in een derde land gevestigde gegevensimporteur zich heeft aangesloten, zonder dat die verwerkingsverantwoordelijken/verwerkers zich zelf bij die code hoeven aan te sluiten.

Om passende waarborgen te bieden in de zin van artikel 46 moeten in de inhoud van de code de essentiële beginselen en de rechten en verplichtingen die uit de AVG voortvloeien voor verwerkingsverantwoordelijken/verwerkers aan de orde komen, maar ook de garanties die specifiek zijn voor doorgiften (zoals met betrekking tot verdere doorgiften of wetsconflict in het derde land). In het licht van de waarborgen waarin wordt voorzien door de bestaande doorgifte-instrumenten krachtens artikel 46 van de AVG en om te zorgen voor samenhang van het beschermingsniveau, rekening houdend met de beslissing van het Hof van Justitie van de Europese Unie in de zaak Schrems II 1 , omvatten de richtsnoeren een checklist van de elementen die in een gedragscode voor doorgifte aan de orde moeten komen.

Een gedragscode kan oorspronkelijk worden opgesteld om uitsluitend de toepassing van de AVG toe te lichten overeenkomstig artikel 40, lid 2 ('AVG-gedragscode'), of ook als code voor doorgifte overeenkomstig artikel 40, lid 3. Afhankelijk van de oorspronkelijke reikwijdte en inhoud van de code kan het daarom nodig zijn om de code zodanig te wijzigen dat deze betrekking heeft op alle bovengenoemde elementen, indien de code moet worden gebruikt als doorgifte-instrument.

In deze richtsnoeren, die een aanvulling vormen op de richtsnoeren 1/2019 van de EDPB voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679, zijn stroomschema's opgenomen om de rol van de verschillende actoren die bij het opstellen van een code voor gebruik als doorgifte-instrument betrokken zijn en het goedkeuringsproces te verduidelijken.

Inhoudsopgave

SAMENVATTING...................................................................................................................................... 3 SAMENVATTING...................................................................................................................................... 3 SAMENVATTING...................................................................................................................................... 3
1 DOEL VAN DE RICHTSNOEREN......................................................................................................... 5 DOEL VAN DE RICHTSNOEREN......................................................................................................... 5
2 WAT ZIJN GEDRAGSCODES ALS INSTRUMENT VOOR DOORGIFTE?................................................ 6 WAT ZIJN GEDRAGSCODES ALS INSTRUMENT VOOR DOORGIFTE?................................................ 6
3 WAT MOET DE INHOUD VAN EEN GEDRAGSCODE ALS INSTRUMENT VOOR DOORGIFTE ZIJN? ... 8 WAT MOET DE INHOUD VAN EEN GEDRAGSCODE ALS INSTRUMENT VOOR DOORGIFTE ZIJN? ... 8
4 WELKE ACTOREN ZIJN BIJ HET OPSTELLEN VAN EEN CODE BEDOELD VOOR GEBRUIK ALS INSTRUMENT VOOR DOORGIFTE BETROKKEN ENWAT IS HUN ROL?.................................................... 9 WELKE ACTOREN ZIJN BIJ HET OPSTELLEN VAN EEN CODE BEDOELD VOOR GEBRUIK ALS INSTRUMENT VOOR DOORGIFTE BETROKKEN ENWAT IS HUN ROL?.................................................... 9
4.1 4.1 Gedragscodehouder................................................................................................................ 9
4.2 4.2 Toezichthoudend orgaan......................................................................................................... 9
4.3 4.3 Toezichthoudende autoriteiten ............................................................................................ 10
4.4 4.4 De EDPB................................................................................................................................. 10
4.5 4.5 De Commissie........................................................................................................................ 10
5 GOEDKEURINGSPROCES VAN EEN GEDRAGSCODE VOOR DOORGIFTE........................................ 11 GOEDKEURINGSPROCES VAN EEN GEDRAGSCODE VOOR DOORGIFTE........................................ 11
6 WELKE GARANTIES MOETEN OP GROND VAN DE CODE WORDEN GEBODEN? ........................... 12 WELKE GARANTIES MOETEN OP GROND VAN DE CODE WORDEN GEBODEN? ........................... 12
6.1 6.1 Bindende en afdwingbare toezeggingen die moeten worden uitgevoerd ........................... 12
6.2 opgenomen 6.2 opgenomen Checklist van de elementen die in een gedragscode voor doorgifte moeten worden ....................................................................................................................................... 14
Bijlage 1 -VASTSTELLING VAN EEN GEDRAGSCODE VOOR DOORGIFTE -STROOMSCHEMA.......... 17 Bijlage 1 -VASTSTELLING VAN EEN GEDRAGSCODE VOOR DOORGIFTE -STROOMSCHEMA.......... 17 Bijlage 1 -VASTSTELLING VAN EEN GEDRAGSCODE VOOR DOORGIFTE -STROOMSCHEMA.......... 17
a -Vaststelling van een transnationale code voor doorgifte.......................................................... 17 a -Vaststelling van een transnationale code voor doorgifte.......................................................... 17 a -Vaststelling van een transnationale code voor doorgifte.......................................................... 17
b -Wijziging van een transnationale code met het oog op gebruik als code voor doorgifte......... 17 b -Wijziging van een transnationale code met het oog op gebruik als code voor doorgifte......... 17 b -Wijziging van een transnationale code met het oog op gebruik als code voor doorgifte......... 17

Het Europees Comité voor gegevensbescherming (hierna 'de EDPB' genoemd)

Gezien artikel 70, lid 1, punt e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna 'AVG' genoemd),

Gezien de EER-overeenkomst en in het bijzonder bijlage XI en protocol 37 bij die overeenkomst, als gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018 2 ,

Gezien de artikelen 12 en 22 van zijn reglement van orde,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD

1 DOEL VAN DE RICHTSNOEREN

  1. Deze richtsnoeren zijn bedoeld ter verduidelijking van de toepassing van artikel 40, lid 3, van de algemene verordening gegevensbescherming (hierna 'AVG' genoemd) betreffende gedragscodes als passende waarborgen voor de doorgifte van persoonsgegevens aan derde landen overeenkomstig artikel 46, lid 2, punt e), AVG. Ook moeten zij een praktische leidraad vormen, onder meer wat betreft de inhoud van dergelijke gedragscodes, het goedkeuringsproces ervan, de betrokken actoren, de eisen waaraan moet worden voldaan en de waarborgen die een gedragscode voor doorgifte moet bieden.
  2. Verder moeten deze richtsnoeren een duidelijk naslagwerk voor alle toezichthoudende autoriteiten en de EDPB vormen, en de Europese Commissie (hierna 'Commissie' genoemd) helpen bij een consequente evaluatie van de gedragscodes en stroomlijning van de beoordelingsprocedures. Zij moeten tevens zorgen voor meer transparantie door te waarborgen dat de gedragscodehouders die goedkeuring willen aanvragen van een gedragscode die bedoeld is voor gebruik als instrument voor doorgifte (hierna 'code(s) voor doorgifte' genoemd), volledig op de hoogte zijn van het proces en de formele eisen en de toepasselijke drempels voor het opstellen van een dergelijke gedragscode begrijpen.
  3. De onderhavige richtsnoeren vormen een aanvulling op de richtsnoeren 1/2019 van de EDPB voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679, die het algemene kader voor de goedkeuring van gedragscodes vormen (hierna 'richtsnoeren 1/2019' genoemd). De overwegingen in de richtsnoeren 1/2019, met name wat betreft de aanvaardbaarheid, indiening en criteria voor goedkeuring, zijn dus ook van toepassing het kader van de voorbereiding van codes voor doorgifte.

2 WAT ZIJN GEDRAGSCODES ALS INSTRUMENT VOOR DOORGIFTE?

  1. Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties.
  2. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt e). Overeenkomstig artikel 40, lid 3, kunnen in derde landen gevestigde verwerkingsverantwoordelijken of verwerkers die niet onder de AVG vallen zich ook aansluiten bij een gedragscode die door de bevoegde toezichthoudende autoriteit (hierna 'bevoegde TA' genoemd) is goedgekeurd en door de Commissie binnen de EU algemeen geldig is verklaard, en deze gebruiken om te voorzien in passende waarborgen voor gegevens die aan derde landen worden doorgegeven. Die verwerkingsverantwoordelijken en verwerkers moeten, via contractuele of andere juridisch bindende instrumenten, bindende en afdwingbare toezeggingen doen om de door de code geboden passende waarborgen toe te passen, ook wat betreft de rechten van de betrokkenen, zoals voorgeschreven in artikel 40, lid 3.
  3. Gedragscodes kunnen worden opgesteld door verenigingen of ander organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen (gedragscodehouders), zoals bepaald in artikel 40, lid 2. Zoals in de richtsnoeren 1/2019 is aangegeven, zouden op een nietlimitatieve lijst van mogelijke gedragscodehouders kunnen staan: handels- en vertegenwoordigende verenigingen, sectorale organisaties, academische organisaties en belangengroepen. Volgens dezelfde richtsnoeren kunnen codes voor doorgifte bijvoorbeeld worden uitgewerkt door organen die een sector vertegenwoordigen (bv. een vereniging/federatie uit de bankenen financiële sector, verzekeringssector), maar ook worden opgesteld voor verschillende sectoren met een gemeenschappelijke verwerkingsactiviteit en dezelfde verwerkingskenmerken en -behoeften (bv. een HR-code opgesteld door een vereniging/federatie van HR-professionals, of een code voor gegevens over kinderen). Op die manier bieden dergelijke codes de verwerkingsverantwoordelijken of verwerkers in derde landen, die op grond van de code gegevens ontvangen, een kader voor deze doorgiften, terwijl beter wordt ingespeeld op de specifieke verwerkingsbehoeften van hun sector of gemeenschappelijke verwerkingsactiviteiten. Daarom kunnen zij een beter geschikt instrument zijn vergeleken met andere doorgiftemechanismen die krachtens artikel 46 beschikbaar zijn. Gedragscodes die bedoeld zijn voor gebruik als instrument voor doorgifte zullen een bepaalde verwerkingsverantwoordelijke of verwerker in een derde land met name in staat stellen passende waarborgen voor meerdere doorgiften aan een derde land te bieden die specifiek zijn voor een sector of gegevensverwerkingsactiviteit. Daarnaast hoeven de entiteiten die de gedragscodes gebruiken, niet tot dezelfde groep te behoren om een kader te bieden voor hun doorgiften (wat wel het geval is bij bindende bedrijfsvoorschriften).
  4. Tevens moet worden opgemerkt dat verwerkingsverantwoordelijken/verwerkers die onder de AVG vallen (d.w.z. gegevensexporteurs) zich, om te voldoen aan hun verplichtingen bij doorgiften aan derde landen overeenkomstig de AVG, kunnen beroepen op een code voor doorgifte waarbij een in een derde land gevestigde gegevensimporteur zich heeft aangesloten, zonder dat die verwerkingsverantwoordelijken/verwerkers zich zelf bij die code hoeven aan te sluiten. Een code voor doorgifte kan dus een kader vormen voor doorgiften van verwerkingsverantwoordelijken/verwerkers die zich niet bij die gedragscode hebben aangesloten aan in een derde land gevestigde verwerkingsverantwoordelijken/verwerkers die zich wel bij die gedragscode hebben aangesloten, op

voorwaarde dat in een bindend instrument een toezegging is opgenomen om bij de verwerking van de doorgegeven gegevens aan de verplichtingen van de gedragscode te voldoen, vooral ook wat betreft de rechten van de betrokkenen. Dit betekent dat de gegevensimporteur in het derde land zich bij de code voor doorgifte moet aansluiten, terwijl gegevensexporteurs die onder de AVG vallen, zich niet noodzakelijk bij die code hoeven aan te sluiten. Groepen van bedrijven die gegevens doorgeven van entiteiten die onder de AVG vallen aan entiteiten buiten de EER, kunnen ook een gedragscode als doorgifte-instrument gebruiken wanneer de entiteiten buiten de EER zich bij die code voor doorgifte hebben aangesloten en bindende en afdwingbare toezeggingen hebben gedaan in verband met de doorgifte.

Voorbeeld 1 3 : Bedrijf XYZ met hoofdkantoor in Italië heeft filialen in Duitsland, Nederland, Spanje en België. Met het oog op het beheer van de IT-instrumenten die de groep gebruikt, maakt bedrijf XYZ gebruik van de diensten van een in een derde land gevestigde cloudaanbieder die geen vestiging in de EU heeft. De gegevensverwerking in het kader van het gebruik van IT-instrumenten omvat de doorgifte van gegevens van bedrijf XYZ en zijn filialen aan de cloudaanbieder voor gegevensopslagdoeleinden. Aangezien de cloudaanbieder in het derde land zich heeft aangesloten bij een krachtens artikel 40, lid 5, goedgekeurde gedragscode die bedoeld is voor gebruik als instrument voor doorgiften in verband met clouddiensten, kan die gedragscode het kader vormen voor de gegevensstromen van bedrijf XYZ en zijn filialen naar de cloudaanbieder. In dit geval lijkt het beter als de cloudaanbieder een gedragscode gebruikt in plaats van een ander doorgifte-instrument zoals bindende bedrijfsvoorschriften. Een gedragscode schrijft namelijk niet voor dat de verwerkingsverantwoordelijke/verwerker die als importeur optreedt, een vestiging in de EER moet hebben, terwijl dat voor een groep van bedrijven wel vereist is voor het gebruik van bindende bedrijfsvoorschriften. De gedragscode biedt ook voordelen voor de aanpak van meerdere doorgiften van gegevens met één enkel instrument vergeleken met (volledig) contractuele oplossingen zoals standaardcontractbepalingen.

  1. Een code voor doorgifte kan ook een kader vormen voor doorgiften van verwerkingsverantwoordelijken/verwerkers die onder de AVG vallen aan verwerkingsverantwoordelijken/verwerkers in het derde land die zich bij dezelfde gedragscode voor doorgifte hebben aangesloten, wel zoals hierboven uitgelegd op voorwaarde dat in een bindend instrument een toezegging is opgenomen om aan de verplichtingen van de gedragscode te voldoen, ook wat betreft de rechten van de betrokkenen zoals die zijn vastgelegd in de AVG.

Voorbeeld 2 : Een vereniging die categorieën verwerkingsverantwoordelijken/verwerkers vertegenwoordigt die zich bezighouden met vergelijkbare onderzoeksactiviteiten voor de gezondheidssector waarbij regelmatig gegevens worden doorgegeven aan verwerkingsverantwoordelijken/verwerkers in derde landen, ontwikkelt een gedragscode die ook bedoeld is voor gebruik als instrument voor doorgifte. De relevante verwerkingsverantwoordelijken/verwerkers in de EER sluiten zich aan bij deze gedragscode, waarbij ook in derde landen gevestigde verwerkingsverantwoordelijken/verwerkers zijn aangesloten. De doorgifte van gegevens aan verwerkingsverantwoordelijken/verwerkers in derde landen als onderdeel van de onderzoeksactiviteiten kan in het kader van deze gedragscode plaatsvinden.

3 Het voorbeeld laat de EDPB-aanbevelingen 01/2020 inzake maatregelen ter aanvulling van doorgifteinstrumenten onverlet.

  1. Aangezien het zeer waarschijnlijk is dat codes voor doorgifte door relevante entiteiten worden gebruikt als kader voor doorgiften uit meer dan één lidstaat en omdat die gedragscodes overeenkomstig artikel 40, lid 9, AVG algemeen geldig moeten zijn, kunnen zij dus worden aangemerkt als 'transnationale gedragscodes' zoals gedefinieerd in de richtsnoeren 1/2019 4 .

3 WAT MOET DE INHOUD VAN EEN GEDRAGSCODE ALS INSTRUMENT VOOR DOORGIFTE ZIJN?

  1. Zoals gezegd is een gedragscode voor doorgifte een van de instrumenten die organisaties die bepaalde gegevensverwerkingsactiviteiten verrichten -bv. binnen een specifieke sector of een gemeenschappelijke verwerkingsactiviteit met dezelfde verwerkingskenmerken en -behoeften kunnen gebruiken om passende waarborgen te bieden voor de doorgifte van persoonsgegevens aan een derde land overeenkomstig artikel 46.
  2. De bepalingen van artikel 40, lid 3, die betrekking hebben op het feit dat verwerkingsverantwoordelijken/verwerkers die ingevolge artikel 3 niet onder de AVG vallen, zich bij codes voor doorgifte kunnen aansluiten, doen daarnaast vermoeden dat codes voor doorgifte gedeeltelijk of geheel meer specifiek voor in derde landen gevestigde verwerkingsverantwoordelijken/verwerkers bedoeld zijn. Daarom vindt de EDPB dat in een gedragscode voor doorgifte ook alle regels moeten staan waaraan de in het derde land gevestigde verwerkingsverantwoordelijke/verwerker (de gegevensimporteur) moet voldoen om te waarborgen dat persoonsgegevens goed worden beschermd overeenkomstig de voorschriften van hoofdstuk V van de AVG wanneer ze door een dergelijke in een derde land gevestigde verwerkingsverantwoordelijke/verwerker (d.w.z. gegevensimporteur) worden verwerkt.
  3. Meer bepaald moeten in de inhoud, om passende waarborgen te bieden in de zin van artikel 46, de volgende elementen aan de orde komen:
  4. -essentiële beginselen, rechten en verplichtingen die uit de AVG voortvloeien voor verwerkingsverantwoordelijken/verwerkers; en
  5. -garanties die specifiek zijn voor doorgiften (zoals met betrekking tot verdere doorgiften, wetsconflict in het derde land).
  6. In dit verband wordt opgemerkt dat een gedragscode oorspronkelijk kan worden opgesteld om uitsluitend de toepassing van de AVG toe te lichten overeenkomstig artikel 40, lid 2 ('AVGgedragscode'), of ook als code voor doorgifte overeenkomstig artikel 40, lid 3. Afhankelijk van de oorspronkelijke reikwijdte en inhoud van de code kan het daarom nodig zijn om de code zodanig te wijzigen dat deze betrekking heeft op alle bovengenoemde elementen, indien de code als doorgifteinstrument moet worden gebruikt.

Voorbeeld 3 : Vereniging ABC, die organisaties omvat die op EU-niveau actief zijn in de sector direct marketing, heeft een gedragscode vastgesteld om nadere invulling te geven aan de toepassing van het transparantiebeginsel en daarmee verband houdende eisen krachtens de AVG in het kader van

de verwerkingsactiviteiten van die sector. De vereniging wil deze gedragscode gebruiken als instrument voor het verrichten van doorgiften buiten de EER. Voor zover de gedragscode toegespitst is op het transparantiebeginsel, moet de code worden aangepast zodat deze (naast transparantie) ook de voor de internationale doorgifte van persoonsgegevens vereiste passende waarborgen, alle essentiële beginselen en de belangrijkste eisen ingevolge de AVG bestrijkt en garanties omvat die specifiek zijn voor doorgiften, om goedkeuring voor die code te krijgen als code voor doorgifte.

  1. Overeenkomstig de toelichting van de EDPB in de richtsnoeren 1/2019 moeten in ieder geval alle hierboven aangegeven elementen die in passende waarborgen voorzien, zodanig in de code worden opgenomen dat wordt bijgedragen tot de doeltreffende toepassing ervan en wordt gespecificeerd op welke wijze zij in de praktijk van toepassing zijn op de specifieke verwerkingsactiviteit of sector 5 .
  2. In hoofdstuk 6 van de onderhavige richtsnoeren wordt een checklist gegeven van de elementen die een code voor doorgifte moet omvatten om passende waarborgen te bieden en wordt deze checklist nader toegelicht.

4 WELKE ACTOREN ZIJN BETROKKEN BIJ HET OPSTELLEN VAN EEN CODE BEDOELD VOOR GEBRUIK ALS INSTRUMENT VOOR DOORGIFTE EN WAT IS HUN ROL?

4.1 Gedragscodehouder

  1. De gedragscodehouder is de entiteit of vereniging/federatie die of een ander orgaan dat een gedragscode voor doorgifte opstelt of een goedgekeurde 'AVG-gedragscode' wijzigt voor gebruik als doorgifte-instrument, en die ter goedkeuring indient bij de bevoegde TA 6 .

4.2 Toezichthoudend orgaan

  1. Zoals bij alle gedragscodes moet er in het kader van een code voor doorgifte een toezichthoudend orgaan worden aangewezen en door de bevoegde TA worden geaccrediteerd overeenkomstig artikel 41. Meer bepaald heeft dit orgaan als taak erop toe te zien dat in derde landen gevestigde verwerkingsverantwoordelijken/verwerkers die zich bij die code hebben aangesloten, de regels van die code naleven 7 .
  2. Aangezien gedragscodes voor doorgifte ook meer specifiek gericht zijn op in derde landen gevestigde verwerkingsverantwoordelijken/verwerkers, moet worden gegarandeerd dat de toezichthoudende organen in staat zijn om doeltreffend toe te zien op de gedragscode als bedoeld in de richtsnoeren 1/2019. Toezichthoudende organen die in het kader van codes voor doorgifte optreden, kunnen of uitsluitend binnen de EER gevestigd zijn, of ook daarbuiten, mits het betrokken toezichthoudend orgaan een vestiging in de EER heeft. In dit verband moet de vestiging van het toezichthoudend orgaan in de EER de vestiging zijn waar zich het hoofdkantoor van het toezichthoudend orgaan bevindt, of de plaats waar de definitieve beslissingen over toezichtsactiviteiten worden genomen. Bovendien moet

7 Raadpleeg voor meer informatie over de noodzaak tot oprichting van een toezichthoudend orgaan uit hoofde van een gedragscode de hoofdstukken 11 en 12 van de richtsnoeren 1/2019.

6 Raadpleeg voor meer informatie over de eisen met betrekking tot de gedragscodehouder de definitie van gedragscodehouder in hoofdstuk 2 en punt 5.3 van de richtsnoeren 1/2019.

een in de EER gevestigde entiteit de entiteiten van het toezichthoudend orgaan buiten de EER kunnen controleren en voor alle beslissingen en acties volledige verantwoording kunnen aantonen (met inbegrip van aansprakelijkheid voor eventuele inbreuken).

  1. Voorts kan een toezichthoudend orgaan in de EER zijn activiteiten uitbesteden aan een externe entiteit buiten de EER die namens hem optreedt, op voorwaarde dat deze entiteit over dezelfde competentie en deskundigheid beschikt als vereist in de gedragscode en in de accreditatie-eisen, en dat het toezichthoudend orgaan in de EER een doeltreffende controle over de dienstverlening van de onderaannemer kan waarborgen en de beslissingsbevoegdheid over de toezichtsactiviteiten behoudt. Om de naleving van deze accreditatie-eisen te waarborgen wanneer het toezichthoudend orgaan een deel van zijn taken uitbesteedt, stelt het toezichthoudend orgaan een overeenkomst of een andere krachtens het EU-recht rechtsgeldige akte op die voor de onderaannemer zodanig bindend is ten aanzien van het toezichthoudend orgaan dat alle uitbestede taken aan de voorschriften van de AVG zullen voldoen. Uitbesteding heeft geen overdracht van verantwoordelijkheden tot gevolg: het toezichthoudend orgaan blijft in elk geval verantwoordelijk voor het toezicht op de naleving van de gedragscodes jegens de toezichthoudende autoriteit. Het toezichthoudend orgaan zorgt ervoor dat alle onderaannemers voldoen aan de eisen in het document met accreditatie-eisen, met name wat betreft onafhankelijkheid, afwezigheid van belangenverstrengeling en deskundigheid. Het toezichthoudend orgaan neemt in de overeenkomst met de onderaannemers een specifieke bepaling op ter waarborging van de vertrouwelijkheid van persoonsgegevens die, in voorkomend geval, tijdens de toezichtstaken aan de onderaannemer kunnen worden verstrekt, en biedt passende waarborgen in gevallen waarin dergelijke persoonsgegevens aan de onderaannemers worden doorgegeven.

4.3 Toezichthoudende autoriteiten

  1. Overeenkomstig artikel 40, lid 5, heeft de bevoegde TA tot taak de ontwerpgedragscode voor doorgifte of wijzigingen daarvan met het oog op het gebruik ervan als doorgifte-instrument goed te keuren, en het in het kader van de gedragscode aangewezen toezichthoudend orgaan te accrediteren aan de hand van aanvullende accreditatie-eisen voor gedragscodes voor doorgifte.

4.4 De EDPB

  1. Overeenkomstig artikel 40, lid 7, en artikel 64, lid 1, punt b), wordt de EDPB verzocht advies te geven over het ontwerpbesluit van een toezichthoudende autoriteit met het oog op de goedkeuring van een code voor doorgifte of een wijziging van een gedragscode om deze te gebruiken als instrument voor doorgifte 8 .

4.5 De Commissie

  1. Overeenkomstig artikel 40, lid 9, kan de Commissie bij uitvoeringshandeling vaststellen dat een door een toezichthoudende autoriteit goedgekeurde code voor doorgifte algemeen geldig is binnen de EU. Alleen de codes die binnen de EU algemeen geldig zijn verklaard, voldoen als kader voor doorgiften.

5 GOEDKEURINGSPROCES VAN EEN GEDRAGSCODE VOOR DOORGIFTE

  1. Uit artikel 40, leden 5 en 9, volgt dat een code voor doorgifte alleen kan worden goedgekeurd als deze eerst door een bevoegde TA in de EER wordt goedgekeurd en vervolgens door de Commissie bij uitvoeringshandeling binnen de EU algemeen geldig wordt verklaard.
  2. Aangezien het, zoals vermeld in hoofdstuk 2, zeer waarschijnlijk is dat codes voor doorgifte door verwerkingsverantwoordelijken/verwerkers worden gebruikt als kader voor doorgiften uit meer dan één lidstaat, kunnen zij dus worden aangemerkt als 'transnationale gedragscodes' en moeten zij de goedkeuringsprocedure voor transnationale codes doorlopen, met inbegrip van het verzoek om advies van de EDPB als bedoeld in hoofdstuk 8 en aanhangsel 4 van de richtsnoeren 1/2019 9 . In de praktijk kunnen zich verschillende scenario's voordoen wanneer een vereniging/federatie of een ander orgaan een gedragscode voor doorgifte wil vaststellen:
  3. -een ontwerpgedragscode is opgesteld als 'AVG-gedragscode' en is ook bedoeld voor gebruik als doorgifte-instrument door in derde landen gevestigde verwerkingsverantwoordelijken/verwerkers. Een dergelijke ontwerpgedragscode moet eerst door de bevoegde TA worden goedgekeurd overeenkomstig de procedure voor transnationale gedragscodes, met inbegrip van een advies van de EDPB, en vervolgens door de Commissie in de EU algemeen geldig worden verklaard overeenkomstig artikel 40, lid 9. Nadat deze stappen zijn voltooid, kunnen verwerkingsverantwoordelijken/verwerkers in derde landen zich bij de code aansluiten en kan de code worden gebruikt om passende waarborgen te bieden voor de doorgifte van gegevens aan derde landen;
  4. -een gedragscode is oorspronkelijk opgesteld en goedgekeurd als 'AVG-gedragscode'. Die code wordt verder uitgebreid, zodat deze ook als instrument voor doorgifte kan worden gebruikt door in derde landen gevestigde verwerkingsverantwoordelijken/verwerkers. De wijzing van de code in verband met doorgiften moet ter goedkeuring worden ingediend bij de bevoegde TA, die de procedure voor transnationale codes zal volgen, waarbij de EDPB om advies wordt gevraagd. Daarna moet de gewijzigde code overeenkomstig artikel 40, lid 9, door de Commissie in de EU algemeen geldig worden verklaard, waarna in derde landen gevestigde verwerkingsverantwoordelijken/verwerkers zich bij de code kunnen aansluiten en deze kunnen gebruiken om passende waarborgen te bieden voor de doorgifte van persoonsgegevens aan derde landen.
  5. In een stroomschema in de bijlage bij de richtsnoeren staat voor de bovenstaande mogelijke scenario's aangegeven welke procedurele stappen moeten worden doorlopen voor de goedkeuring van een gedragscode voor doorgifte.

6 WELKE GARANTIES MOETEN OP GROND VAN DE CODE WORDEN GEBODEN?

6.1 Bindende en afdwingbare toezeggingen die moeten worden uitgevoerd

  1. Overeenkomstig artikel 40, lid 3, van de AVG moeten verwerkingsverantwoordelijken en verwerkers die niet onder de AVG vallen en die zich bij een code voor doorgifte hebben aangesloten, via contractuele of andere juridisch bindende instrumenten bindende en afdwingbare toezeggingen doen om de passende waarborgen waarin de code voorziet toe te passen, met name ook wat betreft de rechten van de betrokkenen.
  2. Zoals in de AVG is gespecificeerd, kunnen deze toezeggingen worden aangegaan door gebruik te maken van een overeenkomst, wat de eenvoudigste oplossing lijkt te zijn. Er kunnen ook andere instrumenten worden gebruikt, op voorwaarde dat de verwerkingsverantwoordelijken/verwerkers die zich bij de code hebben aangesloten, het bindende en afdwingbare karakter van die andere middelen kunnen aantonen.
  3. Het instrument moet in ieder geval een bindend en afdwingbaar karakter hebben overeenkomstig het EU-recht en het moet ook bindend en afdwingbaar zijn door de betrokkenen als derde begunstigden.
  4. Bij een gedragscode als doorgifte-instrument kunnen leden aangesloten zijn die in de EER of daarbuiten gevestigd zijn. Een verschil tussen de bij een gedragscode aangesloten leden die in de EER gevestigd zijn en de leden die buiten de EER gevestigd zijn, is dat de AVG rechtstreeks van toepassing is op de eerstgenoemden, maar niet op de laatstgenoemden (mits de laatstgenoemden niet onder artikel 3, lid 2, van de AVG vallen).
  5. Wat betreft de bij een gedragscode aangesloten leden die buiten de EER gevestigd zijn, moet ervoor worden gezorgd dat hun toezegging om te zorgen voor een 'bepaald niveau van gegevensbescherming' garandeert dat het in de AVG bepaalde niveau van gegevensbescherming niet wordt ondermijnd. Dit is een voorwaarde om zich bij de gedragscode als doorgifte-instrument te mogen aansluiten.
  6. Hiertoe kan de verwerkingsverantwoordelijke/verwerker in het derde land (d.w.z. de gegevensimporteur) een overeenkomst sluiten met, bijvoorbeeld, de entiteit die gegevens doorgeeft op grond van de code (d.w.z. de gegevensexporteur). In de praktijk kan een eventuele bestaande overeenkomst worden gebruikt (bv. een dienstenovereenkomst tussen de exporteur en de gegevensimporteur of de overeenkomst die overeenkomstig artikel 28 van de AVG moet worden gesloten in het geval van importeur-verwerkers) waarin de bindende en afdwingbare toezeggingen kunnen worden opgenomen. Een andere optie is om gebruik te maken van een afzonderlijke overeenkomst door aan de code voor doorgifte een modelovereenkomst toe te voegen die vervolgens moet worden ondertekend door, bijvoorbeeld, verwerkingsverantwoordelijken/verwerkers in het derde land en alle gegevensexporteurs in dat land.
  7. Er moet ruimte zijn om de meest geschikte optie te kiezen, afhankelijk van de specifieke situatie.
  8. Wanneer de gedragscode bedoeld is voor gebruik voor doorgiften en verdere doorgiften door een verwerker aan subverwerkers, moet er, indien mogelijk, ook in de verwerkingsovereenkomst tussen de verwerker en zijn verwerkingsverantwoordelijke worden verwezen naar de gedragscode en het instrument dat voorziet in bindende en afdwingbare toezeggingen.

Bindende en afdwingbare toezeggingen van de gegevensimporteur (voorbeeld)

  1. In het algemeen moet in de overeenkomst of een ander instrument worden vastgelegd dat de verwerkingsverantwoordelijke/verwerker zich ertoe verbindt de in de code voor doorgifte gespecificeerde regels na te leven tijdens de verwerking van op grond van de gedragscode ontvangen gegevens. De overeenkomst of een ander instrument moet ook voorzien in mechanismen die het mogelijk maken om dergelijke toezeggingen af te dwingen in geval van inbreuken door de verwerkingsverantwoordelijke/verwerker, met name wat betreft de rechten van de betrokkenen wier gegevens op grond van de code worden doorgegeven.
  2. Meer bepaald moet in de overeenkomst of een ander instrument worden ingegaan op:
  3. -het bestaan van een recht voor betrokkenen wier gegevens op grond van de code worden doorgegeven om de regels uit de code te handhaven als derde begunstigden;
  4. -de kwestie van aansprakelijkheid in geval van inbreuken op de regels uit de code door bij de code aangesloten leden die buiten de EER gevestigd zijn. De code moet een bevoegdheidsbeding bevatten waarin staat dat betrokkenen in het geval van een schending van de regels uit de code door een bij de code aangesloten lid dat buiten de EER gevestigd is, de mogelijkheid hebben om, door het inroepen van hun rechten ten behoeve van derden, tegen die entiteit een vordering in te stellen, ook tot schadevergoeding, bij een in de EER gevestigde toezichthoudende autoriteit en een rechterlijke instantie van het EER-land waar de betrokkene gewoonlijk verblijft. Het bij de code aangesloten lid dat buiten de EER gevestigd is, moet het besluit van de betrokkene om hiertoe over te gaan, aanvaarden. Betrokkenen moeten ook de mogelijkheid hebben om bij de toezichthoudende autoriteit of de rechterlijke instantie in het land van vestiging van de exporteur of van de gewone verblijfplaats van de betrokkene een vordering tegen de gegevensexporteur in te stellen die voortvloeit uit of verband houdt met de naleving van de gedragscode door de importeur. Deze aansprakelijkheid moet onverminderd de mechanismen die op grond van de code kunnen worden uitgevoerd, op het toezichthoudend orgaan rusten, dat overeenkomstig de code ook maatregelen tegen verwerkingsverantwoordelijken/verwerkers kan nemen door corrigerende maatregelen op te leggen. De gegevensimporteur en de gegevensexporteur moeten ook aanvaarden dat de betrokkene kan worden vertegenwoordigd door een orgaan, organisatie of vereniging zonder winstoogmerk onder de voorwaarden van artikel 80, lid 1, AVG;
  5. -het bestaan van een recht voor de exporteur om ten aanzien van het bij de code aangesloten lid dat als importeur fungeert, de regels op grond van de code te handhaven als derde begunstigde;
  6. -het bestaan van een verplichting van de importeur om de exporteur en de toezichthoudende autoriteit van de gegevensexporteur in kennis te stellen van elke vastgestelde schending van de

code door het bij de code aangesloten lid dat als importeur buiten de EER fungeert, alsook van elke corrigerende maatregel van het toezichthoudend orgaan naar aanleiding van die schending.

6.2 Checklist van de elementen die in een gedragscode voor doorgifte moeten worden opgenomen

  1. In het licht van de waarborgen waarin wordt voorzien door de bestaande doorgifte-instrumenten krachtens artikel 46 van de AVG (zoals bindende bedrijfsvoorschriften) en om te zorgen voor samenhang van het beschermingsniveau, rekening houdend met de beslissing van het Hof van Justitie van de Europese Unie in de zaak Schrems II 10 , is de EDPB van mening dat een gedragscode voor doorgifte alleen kan worden geacht passende waarborgen te bieden als daarin in ieder geval de volgende elementen aan de orde komen:
  2. -een beschrijving van de doorgiften waarop de code betrekking heeft (aard van de doorgegeven gegevens, categorieën van betrokkenen, landen);
  3. -een beschrijving van de beginselen inzake gegevensbescherming die op grond van de code moeten worden nageleefd (transparantie, behoorlijkheid en rechtmatigheid, doelbinding, minimale gegevensverwerking en juistheid, beperkte opslag van gegevens, verwerking van gevoelige gegevens, beveiliging, voor verwerkers naleving van instructies van de verwerkingsverantwoordelijke), met inbegrip van regels voor het inzetten van verwerkers of subverwerkers en regels voor verdere doorgifte;
  4. -op grond van de code te nemen maatregelen op het gebied van het aansprakelijkheidsbeginsel;
  5. -het opzetten van passend bestuur via functionarissen voor gegevensbescherming of ander privacypersoneel dat belast is met de naleving van de verplichtingen op het gebied van gegevensbescherming die uit de code voortvloeien;
  6. -het bestaan van een geschikt opleidingsprogramma over de verplichtingen die uit de code voortvloeien;
  7. -het bestaan van een gegevensbeschermingsaudit (door interne of externe auditoren) of een ander intern mechanisme om toezicht te houden op de naleving van de code, onafhankelijk van het toezicht dat het toezichthoudend orgaan bij iedere gedragscode uitoefent; terwijl het programma voor gegevensbeschermingsaudits tot doel heeft te waarborgen en aan te tonen dat de code wordt nageleefd, hebben de audits van het toezichthoudend orgaan tot doel te beoordelen of de aanvrager in aanmerking komt voor aansluiting bij de code, in aanmerking blijft komen wanneer hij bij de code is aangesloten en of er sancties noodzakelijk zijn bij overtredingen;
  8. -transparantiemaatregelen, waaronder gemakkelijke toegang, met betrekking tot het gebruik van de code, met name in verband met de rechten ten behoeve van derden;
  9. -het verlenen aan betrokkenen van hun rechten van inzage, rectificatie, gegevenswissing, beperking, kennisgeving inzake rectificatie of wissing of beperking, bezwaar tegen verwerking, het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking,

waaronder profilering, gebaseerd besluit, zoals die bedoeld in de artikelen 12, 13, 14, 15, 16, 17, 18, 19, 21 en 22 van de AVG;

  • -het tot stand brengen van rechten ten behoeve van derden voor betrokkenen om de regels van de code als derde begunstigden te handhaven (evenals de mogelijkheid om een klacht in te dienen bij de bevoegde TA en om een vordering in te stellen bij de rechterlijke instanties van de EER);
  • -het bestaan van een passende procedure voor de behandeling van klachten met betrekking tot inbreuken op de regels inzake gegevensbescherming, die wordt beheerd door het toezichthoudend orgaan en die, indien dat passend wordt geacht, kan worden aangevuld met een interne procedure voor klachtenbeheer van het bij de code aangesloten lid;
  • -een garantie dat als de code wordt nageleefd, de in een derde land gevestigde verwerkingsverantwoordelijke/verwerker geen reden heeft om aan te nemen dat de wetgeving die van toepassing is op de verwerking van persoonsgegevens in het derde land van doorgifte, hem verhindert zijn verplichtingen op grond van de code na te komen en waar nodig samen met de exporteur aanvullende maatregelen 11 te treffen om het krachtens het EER-recht vereiste beschermingsniveau 12 te waarborgen. Daarnaast een beschrijving van de stappen die moeten worden genomen (waaronder kennisgeving aan de exporteur in de EER, uitvoering van passende aanvullende maatregelen) wanneer de in een derde land gevestigde verwerkingsverantwoordelijke/verwerker na naleving van de code kennis krijgt van wetgeving van het derde land die het bij de code aangesloten lid verhindert om te voldoen aan zijn toezeggingen op grond van de code en van maatregelen die moeten worden genomen in geval van verzoeken om inzage van overheidsinstanties van het derde land;
  • -de mechanismen voor het behandelen van wijzigingen van de code;
  • -de gevolgen als een bij de code aangesloten lid zich uit de gedragscode terugtrekt;
  • -een verplichting voor het bij de code aangesloten lid en het toezichthoudend orgaan om samen te werken met de toezichthoudende autoriteiten in de EER;
  • -een toezegging van het bij de code aangesloten lid dat deze aanvaardt bij een procedure gericht op handhaving van de gedragscode onder de bevoegdheid van toezichthoudende autoriteiten in de EER en rechterlijke instanties in de EER te vallen;
  • -de criteria voor de selectie van het toezichthoudend orgaan voor een code voor doorgifte, d.w.z. om aan te tonen dat het toezichthoudend orgaan over de vereiste deskundigheid beschikt om zijn taken voor een dergelijke code voor doorgifte doeltreffend te vervullen.
  1. Deze elementen vormen in ieder geval minimumgaranties en moeten wellicht worden aangevuld met aanvullende toezeggingen en maatregelen, afhankelijk van de betreffende doorgifte op grond van de gedragscode.

11 De EDPB heeft aanbevelingen gepubliceerd inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de EU te waarborgen, die een bijdrage kunnen leveren bij de beoordeling van het derde land en voor het vaststellen van passende aanvullende maatregelen.

12 Dit berust op de afspraak dat wetten en praktijken die de wezenlijke inhoud van de fundamentele rechten en vrijheden onverlet laten en niet verder gaan dan wat in een democratische samenleving nodig en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in tegenspraak zijn met de in de gedragscode voor doorgifte vastgelegde waarborgen.

  1. De EDPB zal de werking van deze richtsnoeren evalueren in het licht van de ervaring die wordt opgedaan bij de toepassing ervan in de praktijk en zal nadere richtsnoeren verstrekken om de toepassing van de bovengenoemde elementen te verduidelijken.

V

Commissie

Goedkeuring door bevoegde TA

EDPB-advies met aanbeveling het

Bevoegde TA deelt EDPB mee of zij

Gedragscodehouder dient

Goedkeuring door bevoegde TA

Erkenning van algemene geldigheid

Erkenning van algemene geldigheid het besluit handhaaft dan wel

Transnationale code voor doorgifte volgens EDPB-advies houdende

ontwerpbesluit van bevoegde TA /

Kennisgeving door EDPB van advies gewijzigde code in bij bevoegde TA

Commissie volgens EDPB-advies over de

code in de EU

Kennisgeving door EDPB van advies code in de EU

nieuwe wijzigingen houdende goedkeuring ontwerpbesluit van

ontwerpgedragscode te wijzigen wijzigt

goedkeuring (nieuw)

bevoegde TA

BIJLAGE 1 - VASTSTELLING VAN EEN GEDRAGSCODE VOOR DOORGIFTE - STROOMSCHEMA

a - Vaststelling van een transnationale code voor doorgifte

b - Wijziging van een transnationale code met het oog op gebruik als code voor doorgifte

Footnotes

  1. Arrest van het Hof (Grote kamer) van 16 juli 2020; Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems.

  2. Verwijzingen naar 'lidstaten' in dit document moeten worden gelezen als verwijzingen naar 'lidstaten van de EER' (waarbij EER staat voor Europese Economische Ruimte).

  3. Een transnationale gedragscode is een gedragscode die betrekking heeft op verwerkingsactiviteiten in meer dan één lidstaat. Zie de richtsnoeren 1/2019, aanhangsel 1 - Onderscheid tussen nationale en transnationale gedragscodes.

  4. Zie hoofdstuk 6 van de richtsnoeren 1/2019.

  5. Zie het document van de EDPB inzake de procedure voor het opzetten van informele 'gedragscodesessies': https://edpb.europa.eu/sites/default/files/files/file1/edpb\_documentprocedurecodesconductsessions\_nl.pdf

  6. Zie de richtsnoeren 1/2019, aanhangsel 1 - Onderscheid tussen nationale en transnationale gedragscodes.

  7. Arrest van het Hof (Grote kamer) van 16 juli 2020; Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems.